GDPR

Visione

Offerta

Scenari

Tecnologie di Frontiera

Ruoli

Tilt

GDPR

Un processo da governare secondo nuove prospettive

Il GDPR (General Data Protection Regulation) è il corpo normativo che disciplina, in maniera omogenea a livello internazionale, le modalità di raccolta e trattamento dei dati personali dei cittadini europei. Diventato applicativo il 25 maggio 2018, il GDPR rivoluziona il modo in cui aziende e consumatori interagiscono, introducendo due concetti fondamentali: quello del consenso informato – per cui ogni individuo deve essere consapevole della destinazione d’uso dei propri dati personali – e quello dell’accountability – secondo il quale ogni azienda deve essere in grado di dimostrare la corretta applicazione delle prescrizioni del regolamento. Visto in prospettiva, l’adeguamento al GDPR è qualcosa che va ben oltre un semplice obbligo di legge a cui ottemperare. È un vero e proprio processo da governare, una evoluzione che coinvolge cultura e infrastruttura aziendali e che può rivelarsi una straordinaria opportunità per estrarre nuovo valore dai dati in possesso dell’organizzazione. Ma è abbastanza evidente che, prima di poter cominciare a sistematizzare i database e ridefinire i ruoli dei titolari del trattamento delle informazioni, è necessario creare le condizioni per soddisfare i requisiti del regolamento. Teorema ha stilato un decalogo, un breve vademecum utile a tracciare le tappe essenziali di questa trasformazione, che a seconda del punto di vista offre al top management stimoli, missioni e sfide differenti.

  1. Ciascuna azienda deve ottenere da parte di tutti dei propri contatti il consenso esplicito al trattamento dei dati, in modo chiaro e inequivocabile, con l’obbligo di ridurre o eliminare definitivamente le informazioni non più necessaria ai fini descritti nell’informativa.
  2. La raccolta delle informazioni potrà essere svolta solo per precisi scopi legali e proteggendo in ogni momento i datti dalla distribuzione, perdita, elaborazione e divulgazione. Diventano quindi indispensabili opportuni strumenti informatici, dai software sentinella ai sistemi di data protection e disaster recovery.
  3. Le aziende dovranno un DPO (Data Protection Officer), un consulente esterno o una risorsa interna con specifiche qualità professionali in ambito legale e informatico, che riferirà direttamente alla carica aziendale più alta e che avrà il compito di vigilare sul rispetto delle normative fungendo da punto di contatto con l’Autorità di vigilanza in caso di investigazioni o processi di auditing.
  4. Il trasferimento dei dati a entità terze è possibile, anche fuori dall’UE, a patto che siano previste specifiche protezioni.
  5. Secondo il principio dell’accountability, bisogna sempre essere in grado di dimostrare la conformità alla normativa GDPR, implementando un controllo costante dei livelli di protezione dell’azienda e avviando procedure cicliche di risk e impact assessment.
  6. Se l’organizzazione conta più di 250 dipendenti, è necessario conservare, per iscritto o in forma elettronica, tutta la documentazione relativa alle attività di trattamento dei dati. Il registro così redatto dovrà essere reso disponibile alle autorità di vigilanza in fase di controllo.
  7. In qualunque momento ogni cittadino europeo può richiedere alle aziende in possesso di suoi dati delucidazioni relative alle modalità di utilizzo e conservazione delle informazioni, nonché una copia gratuita in formato elettronica e persino la cancellazione immediata.
  8. In caso di data breach, l’azienda dovrà in grado di informare, entro 72 ore dall’accertamento della violazione, ogni oggetto interessato. La notifica all’Autorità vigilante dovrà essere inoltrata solo se la violazione comporta un rischio ai diritti e alla libertà delle persone fisiche.
  9. È bene che tutti i software installati e utilizzati siano coperti dal supporto di produttori compliant col GDPR: sistemi che hanno vulnerabilità note e che non ricevono più patch di sicurezza espongono i dati a possibili intrusioni.
  10. Essere conforme al GDPR non è facoltativo, ma obbligatorio: l’inadempimento espone l’azienda a sanzioni fino a venti milioni di euro o al 4% del fatturato globale annuo
IL GDPR VISTO DALLA PROSPETTIVA DEL

CEO

Il General Data Protection Regulation può essere letto come un nuovo “processo” da governare. E ogni Ceo deve attivarsi su questo aspetto senza perdere tempo. Bisogna prevedere una maggiore trasparenza su come i dati vengono processati e gestiti, focalizzare l’attenzione sui processi e garantire che i sistemi informativi siano adatti al corretto trattamento dei dati, nominando figure corrette, a partire dal DPO, a tutela di questi adempimenti, e stabilendo chiare direttive e mansioni aziendali.

IL GDPR VISTO DALLA PROSPETTIVA DEL

CMO

Sotto il profilo dei requisiti imposti dal GDPR, l’ufficio Marketing è coinvolto in tutti i processi di gestione delle attività di auditing: non ci si potrà dunque più accontentare delle vecchie formule di consenso sul trattamento dei dati, bensì si dovrà disporre (documentandolo) di un consenso valido, esplicito, revocabile, soprattutto ponendo al centro delle attività la salvaguardia e la protezione dei dati, integrandole sia nei prodotti, sia nei servizi. Il CMO lavorerà poi a stretto contatto con il DPO, ricevendo le informazioni circa gli obblighi derivanti dai dati trattati e mettendo a frutto la propria capacità organizzare e declinare i processi in funzione delle nuove direttive.

IL GDPR VISTO DALLA PROSPETTIVA DEL

CTO

Per un CTO il GDPR si declina nell’adeguamento delle infrastrutture aziendali per rispondere correttamente alle disposizioni di legge. In realtà bisogna ripensare l’idea stessa di infrastruttura: è infrastruttura anche il software, sono infrastruttura i processi. Soprattutto, infrastruttura è l’impalcatura che può valorizzare i dati, proteggerli, ma allo stesso tempo anche esporli ai rischi. Per questo il processo di adeguamento al GDPR potrebbe essere la giusta opportunità per le aziende di pensare finalmente a una strategia Cloud. Pensare all’integrità dei processi e all’integrazione delle corrette procedure in hardware, software, servizi significa disporre di applicazioni e sistemi operativi aggiornati, supportati, e avere pronto un piano per la gestione del ciclo di vita delle applicazioni per quando quelle in uso non saranno più supportate, e ovviamente per tutte quelle che ancora si usano e già non lo sono più.